Archives mensuelles : octobre 2010

Publier OCS 2007 sur UAG

Le sujet est complexe. D’un coté on a la position du support TMG qui annonce que la publication de OCS n’est possible qu’au travers de TMG, et de l’autre, on a UAG qui repose sur TMG pour se protéger lui même.

 

Je conseille la lecture du billet de Jason Jones, un de mes collègues MVP anglais. Certes, la démarche n’est pas supportée par Microsoft mais cela démontre une des qualités d’UAG, à savoir sa grande souplesse.

 

Bonne lecture

 

Benoits – Simple and Secure by Design  but Business compliant!

Pourquoi ais-je besoin d’ISATAP pour DirectAccess?

DirectAccess peut faire peur. Pourtant, ce n’est ni plus ni moins que l’assemblage de briques existantes. L’une d’entre elle est IPv6. Invariablement, c’est lorsqu’on arrive à l’utilisation d’IPv6 sur le LAN qu’on commence à avoir des problèmes.

 

Un des principaux avantages d’UAG 2010, est sa capacité à proposer l’accès à des ressources “IPv4 only” aux clients DirectAccess. D’un certain point de vue, c’est parfait, presque trop même. A ce stade, il n’est pas rare que certains clients réagissent en se disant que NAT64/DNS64 permet de se passer d’IPV6 sur le LAN et donc d’ISATAP. De leur point de vue, c’est plus rassurant puisqu’il n’y aura que de l’IPv4 sur le LAN, IPv6 sera limité à Internet.

 

Au premier abord, cela se défend. Cependant, il ne faut pas oublier un détail. NAT64/DNS64 assure bien la translation IPv6 vers IPv4, mais uniquement dans ce sens. Cela signifie qu’il n’e sera pas possible d’établir des communications depuis le LAN vers les clients DirectAccess en situation de mobilité. On parle de quoi à ce niveau ?

  • Prise de main à distance d’un utilisateur en situation de mobilité
  • Gestion du poste de travail à distance au travers des outils de télédistribution / antivirus

 

C’est ce qu’on appelle les scénarios “Manage Out”. Donc ne pas utiliser IPv6 sur le LAN, c’est se priver d’un avantage important de DirectAccess, à savoir la capacité à gérer ses postes de travail en situation de mobilité. DirectAccess ne serait plus qu’une solution comparable aux autres VPN/SSL sinon qu’elle est transparente pour l’utilisateur.

 

Pour ceux qui veulent en savoir plus, je recommande :

 

Maintenant, il n’y a plus d’argument pour refuser ISATAP sur son LAN.

 

Benoîts – Simple and Secure by Design  but Business compliant!

MVP renewal

I’ve been awarded as Enterprise Security MVP for the first time in October 2009. My MVP is  renewed for another year, so another year of challenge and tricky posts.

This year, i will include a new dimension to my posts : Business compliance with security. So, New year, new signature. “Simple and Secure by Design” will become “Simple and Secure by Design but Business compliant”. What else?

 

BenoîtS – Simple and Secure by Design  but Business compliant.